🐡

GHAからGCRへはOIDCを利用してシンプルに

2 min read

OpenID Connectを利用するための設定に関しては公式ドキュメントに任せます。

例えばDocker Layerd Cacheを利用してビルドして、成果物のイメージをGoogle Container RegistryにPushしたいみたいなケースを想定してます。

pushされたら実行

name: Build and Publish

on: ["push"]

permissions:
  id-token: write
  contents: read

Jobsの定義に関してはここから、まずは最初の準備
使うコードと環境の準備です。

jobs:
  build_and_push:
    runs-on: ubuntu-latest
    steps:
      - name: checkout
        uses: actions/checkout@v2

      - name: Set up Docker Buildx
        uses: docker/setup-buildx-action@v1

イメージを何度も0からビルドしてると無駄なので、cacheを利用します。
cacheには、actions/cache を利用しますので、その設定とcacheが存在する場合は、それを取得します。

      - name: Cache Docker layers
        uses: actions/cache@v2
        with:
          path: /tmp/.buildx-cache
          key: ${{ runner.os }}-buildx-${{ github.sha }}
          restore-keys: |
            ${{ runner.os }}-buildx-

suffixに${{ github.sha }} とすることで、repositoryに変更があれば新しいキャッシュが作られる事になります。
restore-keysでは、suffix部分を省略して各事で、前方一致でhitする新しいキャッシュを取得します。

ここからOIDCを利用して、GCPのSAのToken情報を取得します。
といっても書くことはシンプルで、下記の通り書くだけです。
裏側の挙動に関しては、公式ドキュメント参照してくださいね。

      - id: auth
        name: Authenticate to GCP
        uses: 'google-github-actions/auth@v0.3.1'
        with:
          create_credentials_file: true
          workload_identity_provider: projects/<YOUR GCP PROJECT NUMBER>/locations/global/workloadIdentityPools/<YOUR POOL NAME>/providers/<YOUR PROVIDER NAME>
          service_account: <YOUR GCP SERVICE ACCOUNT>

取得したkey情報を利用して、gcloudコマンドを利用できるように auth loginします。

      - id: gcloud
        name: gcloud
        run: |-
          gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
          gcloud --quiet auth configure-docker

さて、buildしてpushするための準備はできましたので、残りはBuildとPush
そして最後にキャッシュの保存

      - name: Build and push and cache
        uses: docker/build-push-action@v2
        with:
          context: .
          push: true
          tags: |
            <YOUR IMAGE NAME>:${{ github.sha }}
          cache-from: type=local,src=/tmp/.buildx-cache
          cache-to: type=local,dest=/tmp/.buildx-cache-new

      - name: Move cache
        run: |
          rm -rf /tmp/.buildx-cache
          mv /tmp/.buildx-cache-new /tmp/.buildx-cache
```	  

雑メモでしたが、以上です

Discussion

ログインするとコメントできます